Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós StoatWaffle

Programari maliciós StoatWaffle

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Un clúster d'amenaces nord-coreà, rastrejat com a Contagious Interview i també conegut com a WaterPlum, ha estat vinculat a una sofisticada família de programari maliciós anomenada StoatWaffle. Aquesta campanya s'adreça específicament als desenvolupadors convertint en armes projectes maliciosos de Microsoft Visual Studio Code (VS Code), cosa que indica una evolució perillosa en els atacs a la cadena de subministrament dins de l'ecosistema de desenvolupament de programari.

Armes contra codi: l’abús de tasks.json

Una innovació destacable d'aquesta campanya és l'explotació del fitxer de configuració tasks.json de VS Code. Des del desembre de 2025, els atacants han aprofitat la configuració 'runOn: folderOpen' per executar automàticament tasques malicioses cada vegada que s'obre una carpeta de projecte.

Aquesta tècnica garanteix una execució consistent sense requerir la interacció explícita de l'usuari. La tasca maliciosa recupera càrregues útils d'una aplicació web remota allotjada a Vercel, que funciona independentment del sistema operatiu subjacent. Tot i que els entorns d'anàlisi sovint se centren en Windows, la lògica d'atac es manté consistent a través de les plataformes.

Lliurament de càrrega útil multietapa mitjançant Node.js

Un cop executat, el programari maliciós inicia un procés d'infecció estructurat en diverses etapes:

  • La càrrega útil verifica si Node.js està instal·lat al sistema amfitrió.
  • Si no n'hi ha, Node.js es descarrega des de la seva font oficial i s'instal·la silenciosament.
  • S'inicia un component de descàrrega, que contacta periòdicament amb un servidor remot.
  • Aquest descarregador recupera càrregues útils addicionals, que s'executen com a codi Node.js i continuen la cadena d'infecció a través d'etapes successives.

Aquest enfocament per capes millora la persistència i complica la detecció per part de les eines de seguretat.

Dins de StoatWaffle: Capacitats modulars de programari maliciós

StoatWaffle està dissenyat com un marc modular basat en Node.js, que permet el desplegament flexible de múltiples components maliciosos. Els seus mòduls principals inclouen:

Credential Stealer : Extreu dades sensibles dels navegadors basats en Chromium i Mozilla Firefox, incloses les credencials desades i les dades d'extensions. En sistemes macOS, també té com a objectiu la base de dades de clauers d'iCloud. Totes les dades recollides s'exfiltren a un servidor de comandament i control (C2).
Troià d'accés remot (RAT) : Estableix comunicació persistent amb el servidor C2, permetent als atacants executar ordres de forma remota. Les capacitats inclouen la navegació del sistema de fitxers, l'execució d'ordres, la càrrega de fitxers, les cerques de fitxers basades en paraules clau i l'autoterminació.
Expansió de la superfície d'atac : explotació d'ecosistemes de codi obert

La campanya s'alinea amb un patró més ampli d'atacs dirigits a plataformes de codi obert i fluxos de treball de desenvolupadors. Les operacions més destacades inclouen:

  • Distribució de PylangGhost, una porta del darrere basada en Python, a través de paquets npm maliciosos, marcant la seva primera propagació observada a través d'aquest canal.
  • La campanya PolinRider, que va injectar JavaScript ofuscat en centenars de repositoris de GitHub, cosa que va conduir al desplegament d'una variant actualitzada del programari maliciós BeaverTail.
  • Compromís dels repositoris dins de l'organització Neutralinojs GitHub mitjançant el segrest d'un compte de col·laborador amb privilegis elevats. S'ha forçat l'aplicació de codi maliciós per recuperar càrregues útils xifrades incrustades en transaccions de blockchain a través de les xarxes Tron, Aptos i Binance Smart Chain.

Les víctimes en aquests escenaris sovint s'infectaven a través d'extensions de VS Code compromeses o paquets npm maliciosos.

Tàctiques d’enginyeria social: entrevistes falses i objectiu de desenvolupadors

L'accés inicial s'aconsegueix sovint mitjançant estafes de contractació altament convincents. Els atacants simulen processos legítims d'entrevistes tècniques, persuadint els objectius perquè executin codi maliciós allotjat en plataformes com GitHub, GitLab o Bitbucket.

L'estratègia de segmentació se centra en individus d'alt valor, inclosos fundadors, CTO i enginyers sèniors en els sectors de les criptomonedes i la Web3. Aquests rols sovint proporcionen accés a infraestructures crítiques i actius digitals. En un cas documentat, un intent d'atac va tenir com a objectiu el fundador d'AllSecure.io utilitzant un escenari d'entrevista de treball fabricat.

Per augmentar la credibilitat, els atacants creen perfils d'empresa falsos a LinkedIn i mantenen comptes de GitHub aparentment legítims. Altres tècniques inclouen l'ús de ClickFix, un mètode d'enginyeria social que disfressa el lliurament de programari maliciós com a tasques d'avaluació d'habilitats.

Objectius estratègics: Més enllà del robatori de criptomonedes

Tot i que el robatori de criptomonedes sembla ser una motivació principal, la intenció més àmplia s'estén al compromís de la cadena de subministrament i a l'espionatge corporatiu. En infiltrar-se en entorns de desenvolupador, els atacants obtenen oportunitats per propagar codi maliciós a projectes de programari posteriors o accedir a dades organitzatives sensibles.

Enfortiment de la seguretat del codi VS

En resposta a l'abús de les tasques de VS Code, Microsoft va introduir millores de seguretat crítiques:

  • L'actualització del gener de 2026 (versió 1.109) va introduir el paràmetre task.allowAutomaticTasks, que està desactivat per defecte per evitar l'execució automàtica de les tasques definides a tasks.json.
  • Aquesta configuració no es pot anul·lar a nivell d'espai de treball, cosa que impedeix que els repositoris maliciosos ignorin les preferències de seguretat definides per l'usuari.
  • Les actualitzacions posteriors, inclosa la versió 1.110 publicada el febrer de 2026, van afegir un segon avís quan es detecten tasques d'execució automàtica en espais de treball recentment oberts, cosa que reforça la consciència de l'usuari fins i tot després que s'hagi atorgat la confiança de l'espai de treball.

Conclusió: una amenaça creixent per a la seguretat dels desenvolupadors

La campanya StoatWaffle destaca un canvi significatiu en l'estratègia dels atacants, centrant-se en els entorns de desenvolupament i els fluxos de treball de confiança. En combinar l'explotació tècnica amb l'enginyeria social avançada, els actors d'amenaces continuen desdibuixant la línia entre l'activitat legítima i la maliciosa, cosa que emfatitza la necessitat d'una major vigilància al llarg del cicle de vida del desenvolupament de programari.

Tendència

Campanya de compromís al núvol UNC4899

Amenaça persistent avançada (APT)
Una sofisticada intrusió cibernètica del 2025 s'ha relacionat amb l'actor d'amenaces nord-coreà UNC4899, un grup sospitós d'orquestrar un compromís a gran escala d'una organització de criptomonedes que va resultar en el robatori de milions de dòlars en actius digitals. La campanya s'ha atribuït amb confiança moderada a aquest adversari patrocinat per l'estat, que també es rastreja amb diversos...

Estafa per correu electrònic de factura de devolució...

Phishing, Correu brossa
Els correus electrònics inesperats, especialment aquells que insten els destinataris a revisar factures, confirmar pagaments o obrir fitxers adjunts, sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint exploten la curiositat i la urgència per manipular els usuaris perquè revelin informació confidencial. Un exemple és l'estafa de correu electrònic de factures de devolució de...

Més vist

Carregant...